Резервное копирование — критически важная задача. Выполнить её позволит встроенный скрипт от VMware Cloud Director, который можно запустить двумя способами. Первый — с помощью страницы обслуживания (VMware Cloud Director Appliance), второй — вручную (путь: /opt/vmware/appliance/bin/create-backup.sh, или здесь.
Весной 2022 года процесс закупки зарубежной системы виртуализации VMware в России фактически остановился – компания в одностороннем порядке разорвала контракты с российскими партнерами без возврата денежных средств. У бизнеса осталось не так много опций: приобретение через посредников в дружественных странах или неофициальное скачивание программного обеспечения с торрентов. Оба варианта несут серьезные риски, причем и юридические, и технические. Как и следовало ожидать, в мае 2025 VMware приняла жесткие меры в отношении обходных схем, но об этом – чуть позже.
Мы в Orion soft разобрались, что значат для отечественного рынка очередные изменения в политике лицензирования и поддержки VMware и какие риски берут на себя те, кто продолжает пользоваться ее решением.
Привет, Хабр! Меня зовут Анатолий Усов, я инженер дата-центра Рег.ру. В этой статье расскажу, чем обычно занимается инженер в ЦОДе в течение смены, с какими сложностями сталкиваемся и как устроена работа внутри нашего дата-центра.
Настраиваем fail2ban для защиты от перебора паролей на debian серверах с помощью инструмента автоматизации Ansible. Для мобильности сервер Ansible установим на OrangePi и сделаем его спряжение с мобильным телефоном.
Все приложения на сервере необходимо запускать под управлением какого-либо демона. Возможно, вы уже используете supervisord или systemd.
Эта статья покажет, как упростить вашу жизнь при помощи systemd, интегрировав его напрямую в ваше приложение через SPM-плагин.
Для начала давайте посмотрим, как мы обычно работаем с systemd и что нужно проделать для его настройки на работу с нашим приложением.
Данная статья написана только в образовательных целях и автор не несёт ответственности за ваши действия. Ни в коем случае не призываем читателей на совершение противозаконных действий. Материал размещен только с целью ознакомления и принятию мер по обеспечению безопасности. Использование материалов в противоправных и противозаконных запрещено законом РК. Все персоны или принадлежность к кому-либо только в голове у автора. Любые совпадения с реальностью абсолютно случайны.
Существующие варианты реализации 2FA для OpenVPN основываются на модуле google-authenticator-libpam для OTP‑кодов и плагинов аутентификации OpenVPN libpam-radius-auth, openvpn-plugin-auth-pam, openvpn-auth-ldap и имеют ряд недостатков как для пользователя так и для администратора.
Поскольку и OpenVPN, и FreeRADIUS позволяют подключать плагины мы можем, написав собственный плагин, реализовать такую схему, которая позволит нам:
• использовать для аутентификации пользователей логин и пароль из LDAP‑каталога.
• удобно вводить логин, пароль, OTP в отдельные независимые поля интерфейса, а не после пароля или вместо пароля.
• реализовать различные комбинации использования логина, пароля, OTP в зависимости от задач.
• обеспечить отказоустойчивость, возможность использования нескольких серверов аутентификации.
• использовать LDAP‑каталог для централизованного управления пользователями.
• хранить seed‑значения для генератора OTP независимо от того, какой LDAP‑каталог используется (ActiveDirectory, FreeIPA, lldap или другие).
• передать функцию создания, обновления seed‑значений для генератора OTP техподдержке без необходимости подключаться к серверам OpenVPN.
• использовать на смартфонах любое приложение для генерации OTP (Яндекс.Ключ, FreeOTP Authenticator и др.).
• не зависеть от работоспособности облачных провайдеров 2FA.
Система рассчитана на следующие сценарии использования:
• доступ пользователей через OpenVPN в инфраструктуру компании.
• резервный самодостаточный безопасный удаленный доступ в инфраструктуру для администраторов на случай аварий или сбоев.
В обоих сценариях:
• не предполагается использование персональных сертификатов для каждого пользователя. Однако, это не исключает использования сертификатов в качестве дополнительной меры защиты.
• для аутентификации используется логин, пароль и OTP.
Самая распространённая конфигурация из мануалов по настройке:gunicorn --workers 3 wsgi:app
Какое количество воркеров оптимально?
Считается формулой: (Количество ядер процессора)*2+1
А также, у Sync воркеров есть Gthread класс:gunicorn --workers 5 --threads 2 wsgi:app
Указывая параметр тредов, воркеры автоматически становятся класса Gthread.
Собрал способы по созданию и настройке безопасного почтового сервера на операционной системе Linux Debian 11 bullseye. Основное внимание уделил инструментам борьбы со спамом — таким как Greylisting, DNSBL и SpamAssassin.
Статья также пригодится, если используете операционные системы Ubuntu 22.04.4 LTS (Jammy Jellyfish), Ubuntu 20.04 LTS (Focal Fossa) и Debian 10 (buster).
В этой статье рассмотрим:
- Как установить Exim и Dovecot
- Создание почтового домена и электронной почты
- Настройка DNS, rDNS записи и smtp_banner
- Защита от спама
Привет всем Хабравчанам, мы в ITGLOBAL.COM пришли к вам с интересными новостями о том, как мы подались во все тяжкие, лабораторно-экспериментального дела.
15 февраля 2023 года ITGLOBAL.COM совместно с vStack и ITPOD открыли в Москве уникальную техническую лабораторию (demo room), которая стала для нас важным шагом на пути к созданию независимой облачной инфраструктуры на базе отечественных, русских решений.
Но что же из себя вообще представляет Техлаборатория и для чего она вообще нужна?
На работе поступила задача от коллеги о необходимости решения вопроса с сохранением вложений в письма (поступают на определенный почтовый адрес) и сохранением их на файловом сервере. В теме письма указана аббревиатура, которую необходимо указать в имени директории, куда будет сохраняться вложения.
В интернете я нашел несколько статей, с использованием данных инструментов, но по большей части они мне не давали сделать то, что было задумано и пришлось дописать небольшой скрипт, который позволил нам сохранять файлы на сетевой шаре.
Приветствую всех читателей. В данной публикации или инструкции хочу максимально подробно разложить "со своей колокольни разумеется" вопрос установки (MTA MDA) сервера.
Наши ресурсы:
Платформу для выполнения задачи взял из маленького одноплатного компьютера Odroid C1+ на базе Ubuntu 20 версии, купленный домен на хостинге в нашем случае medianet.pp.ua, статический ip адрес от интернет провайдера.
Постановка задачи:
Установка операционной системы Linux Ubuntu не ниже 18.04 LTS или что‑то Debian подобное.
Как используя связку Promtail + Loki + Grafana настроить сбор логов из текстового файла и сделать простой, но функциональный дашборд.
Иногда возникает необходимость в переносе сайта, обслуживаемого веб-сервером Apache, на новый домен. Снизить издержки такого переноса помогает настройка перенаправления HTTP-запросов к старому домену на новый.
Решение, описанное в этой статье:
• перенаправляет HTTP-запросы с домена old.com и всех его поддоменов на домен new.com и соответствующие его поддомены;
• исключает префикс www. путём перенаправления HTTP-запросов с доменов www.*.new.com на *.new.com;
• может использоваться для преобразования HTTP-запросов в HTTPS-запросы.
В серии статей по теме DevOps мы вместе с Lead DevOps инженером департамента информационных систем ИТМО Михаилом Рыбкиным рассказываем о проверенных инструментах выстраивания инфраструктуры, которыми с недавнего времени пользуемся сами. В предыдущих статьях мы уже рассмотрели предпосылки перехода на новую инфраструктуру и познакомились с азами Kubernetes, теперь пора перейти к следующему шагу – доставке кода. В рамках этой статьи мы подробно рассмотрим методологию GitOps и ее реализацию на примере ArgoCD.
Наша команда занимается технической поддержкой вычислительного комплекса государственной системы маркировки «Честный знак».
Пройдя свой путь от одной стойки до нескольких сотен, хотим поделиться своим опытом и наблюдениями.
Разработчик Гуннар Морлинг в 2022 году представил пирамиду ревью кода. По аналогии с ней появилась пирамида отказоустойчивости системы. Она делит отказоустойчивость на уровни и предлагает ответить на ряд важных вопросов по каждому из уровней. Пирамида отказоустойчивости системы помогает лучше понимать и реализовывать эту концепцию.
Не судите строго, это моя первая статья, наверное если бы я был гуру Nginx и "Линуха", то скорее всего боли и страданий бы не было.
С чего все началось?
Одним днем мне понадобилось реализовать довольно не тривиальную задачу:
Есть множество сервисов с которых нужно собирать данные для обработки и дальнейшей аналитики, модуль который это все собирает может быть установлен на множество серверов (пока 40, но в горизонте года это 1000), но хочется чтобы все обращения от этих серверов шли на один ip , а с него уже распределялись в зависимости от типа запроса или конечной точки обращения. Условно мы обращаемся к серваку 100.1.2.101 по порту 8080 и просим от него данные о всех домах на определенной территории ,он в свою очередь по заданному сценарию коннектится к определенному proxy (Допустим squid, он нужен так как некоторые api залочены по ip) и через него получает данные из конечного api.
P.S. Данные нельзя хранить на промежуточном сервере, так как они слишком часто обновляются :(
В итоге я решил эту задачу разделить на несколько этапов одна из них это распределение нагрузки...
Пришлось столкнуться с забавной ошибкой, по которой сходу не удалось найти никакой информации в интернете.
Проблема по первичным признакам такая. Грузится SUSE Linux Enterprise Server 15, доходит до меню загрузки GRUB. Далее, если выбрать обычное ядро, всё нормально, а если выбрать ядро для гипервизора Xen, то экран моргает и мы опять возвращаемся в меню. Запустить Xen невозможно никак.
Недавно один из крупнейших колокейшн-провайдеров Equinix заявил, что будет повышать температуру в машинных залах ЦОД. Это позволит снизить затраты на охлаждение и сэкономить на электричестве.
Оптимизация расходов электроэнергии в дата-центре — тема вполне злободневная, с учетом того, что многие энергоэффективные решения стали недоступны на российском рынке. Мы строим ЦОД уже много лет и по опыту можем сказать, что зачастую компании заранее закладывают в бюджет внедрение энергоэффективных систем. А в этом случае можно ничего дополнительно не устанавливать — просто немного повысить температуру в машинном зале и сразу начать экономить. Рискованная ли это затея — разбираем в этом посте.
